lvttfandomcom_vi-20200214-history
Những điều bạn chưa biết: Ransomware
LƯU Ý: NỘI DUNG BÀI VIẾT TRÊN ĐÂY ĐƯỢC TRÍCH TỪ BÀI VIẾT CỦA BẠN BÙI MINH HÙNG. NGHIÊM CẤM SỬA ĐỔI BÀI VIẾT. BẠN HOÀN TOÀN CÓ THỂ SAO CHÉP BÀI VIẾT NÀY, NHƯNG VUI LÒNG GHI TÊN NGƯỜI VIẾT VÀO. Theo thông tin mới nhất mà an ninh mạng đã đưa tin trên các báo và các kênh truyền thông về Ransomware mang tên WanaCrypt0r 2.0, vậy bài viết nói về nó cũng không ít rồi nhưng bài viết này tôi tổng hợp và phân tích về nó củng như đưa ra vài biện pháp hỗ trợ các bạn. Cùng tôi nghiên cứu nó nhé. +Ransomware là gì? Ransomware là một loại phần mềm độc hại cực kỳ khó chịu, nó chặn đường truy cập vào máy tính hoặc dữ liệu và yêu cầu trả tiền chuộc mới giải phóng dữ liệu. Ransomware hoạt động như thế nào? Khi một máy tính bị lây nhiễm, ransomware thường liên lạc với máy chủ trung tâm để có thông tin cần thiết kích hoạt, và sau đó nó bắt đầu mã hóa các tập tin trên máy tính bị nhiễm. Một khi tất cả các file được mã hóa, nó sẽ gửi một tin nhắn yêu cầu thanh toán để giải mã các tập tin - và đe dọa phá hủy dữ liệu nếu không được trả tiền, lời đe dọa thường đi kèm với một bộ đếm thời gian để tăng áp lực. Ransomware lây nhiễm như thế nào? Hầu hết các ransomware đều được ẩn trong tài liệu Word, các tệp PDF và các tệp tin thông thường khác, chúng được gửi qua email hoặc thông qua nhiễm độc thứ cấp trên các máy tính đã bị ảnh hưởng, cung cấp cửa sau để tiếp tục tấn công. WanaCrypt0r 2.0 là gì? Mã độc đang lây nhiễm trong hãng viễn thông Telefónica ở Tây Ban Nha và hàng chục ngàn máy tính trên thế giới là phần mềm tương tự: một ransomware lần đầu tiên bị các chuyên gia bảo mật MalwareHunterTeam phát hiện lúc 9:45 sáng ngày 12/5 (giờ Mỹ). Chưa đầy 4 tiếng sau, ransomware đã lây nhiễm đến các máy tính của NHS và nhiều hệ thống máy tính trên thế giới. Hiện ransomware này đang được gọi là Wanna Decryptor 2.0, WCry 2, WannaCry 2 và Wanna Decryptor 2. +Cách thức hoạt động và phương thức lây lan, phát tán của mã độc? Thông thường các loại mã độc ransomware thường được tin tặc phán tán chính thông qua các hình thức lừa đảo, giả mạo hoặc các thư rác để lừa người dùng tải và thực thi một tệp tin đã bị đính kèm mã độc. Ban đầu, wanaCrypt0r cũng sử dụng cách thức tương tự để lây lan tới các máy tính. Một số trường hợp thực tế cho thấy WanaCrypt0r 2.0 được phát tán thông qua một liên kết hoặc tệp tin đính kèm tới một tệp tin PDF chứa mã độc, nếu tệp tin được mở thì mã độc Wanna Cryptor sẽ được kích hoạt trên máy tính đó. Điểm đặc biệt trong các hoạt động của WanaCrypt0r 2.0 là mã độc này lợi dụng một bộ công cụ khai thác mới do nhóm tin tặc Shadow Brokers mới công bố vào ngày 14/04/2017 có tên là EternalBlue để tiếp tục dò quét các máy tính (các dải địa chỉ IP) trong mạng nội bộ (LAN) và mạng các dải IP trên Internet để khai thác lỗ hổng MS17-010 sau đó chiếm quyền điều khiển của máy tính mục tiêu và tiếp tục lây lan mã độc lên các máy tính này. Do đó mã độc WanaCrypt0r có tốc độ lây lan rất nhanh trên toàn thế giới trong vài ngày qua. EternalBlue là gì? Đây là một module khai thác nằm trong bộ công cụ khai thác do nhóm tin tặc Shadow Brokers đã công bố sau khi tấn công và đánh cắp dữ liệu của 1 nhóm tin tặc khác là: Equation Group (được cho là của NSA). Ngoài EternalBlue, trong bộ dữ liệu công khai của nhóm Shadow Brokers còn chứa khá nhiều module khai thác khác có ảnh hưởng tới các phiên bản của hệ điều hành Windows. Hacker đòi bao nhiêu tiền chuộc? WanaCrypt0r 2.0 đang đòi 300 USD tiền chuộc bằng bitcoin để mở khóa các nội dung trên máy tính. Chúng là ai? Những kẻ tạo ra mảnh ransomware này vẫn chưa được biết đến, nhưng WanaCrypt0r 2.0 là nỗ lực thứ hai của chúng để tống tiền. Một phiên bản trước đó, được đặt tên WeCry, đã được phát hiện hồi tháng 2 năm nay: nó đòi người dùng tiền chuộc 0.1 bitcoin (hiện tại có giá trị 177 USD) để mở các tập tin và chương trình. NSA có liên quan thế nào đến vụ tấn công này? Một khi người dùng vô tình cài đặt ransomware trên máy tính, nó sẽ cố gắng lây lan sang các máy tính khác trong cùng mạng lưới. Để thực hiện việc này, WanaCrypt0r sử dụng một lỗ hổng trong hệ điều hành Windows, lây lan giữa PC và PC. Lỗ hổng này lần đầu tiên bị tiết lộ là một phần trong các công cụ của NSA bị rò rỉ, và nó được một nhóm hacker vô danh "Shadow Brokers" công bố hồi vào tháng Tư. Microsoft có hành động nào để bảo vệ người dùng không? Có. Ngay trước khi Shadow Brokers công bố các tệp tin, Microsoft đã phát hành bản vá cho các phiên bản Windows bị ảnh hưởng, đảm bảo lỗ hổng không thể bị lợi dụng để lây lan phần mềm độc hại giữa các phiên bản đã cập nhật đầy đủ của hệ điều hành. Nhưng vì nhiều lý do, các tổ chức thường chậm cài đặt các bản cập nhật bảo mật trên quy mô rộng. Shadow Brokers là ai? Có phải chúng đứng sau vụ tấn công này? Có vẻ Shadow Brokers không trực tiếp tham gia cuộc tấn công, thay vào đó, một nhà phát triển cơ hội nào đó dường như đã phát hiện ra thông tin trong các tệp bị rò rỉ và cập nhật phần mềm của riêng họ. Bản thân Shadow Brokers là ai thì không ai thực sự biết, nhưng nhiều nghi vấn cho rằng đó là các thủ phạm người Nga Có nên trả tiền chuộc để giải mã dữ liệu? Đôi khi việc trả tiền chuộc sẽ được giải mã dữ liệu, nhưng đôi khi lại không. Đối với ransomware Cryptolocker một vài năm trước đây, một số người dùng báo cáo rằng họ thực sự đã lấy lại được dữ liệu sau khi trả tiền chuộc, thường khoảng 300 bảng Anh. Nhưng không có đảm bảo nào việc trả tiền sẽ giúp ích, bởi vì bọn tội phạm trực tuyến không phải là những người đáng tin cậy. Ngoài ra, còn có vấn đề đạo đức: trả tiền chuộc sẽ tiếp sức cho các tội ác xảy ra. Làm thế nào để phòng chống WanaCrypt0r 2.0 tấn công và lây lan? 1. Đối với người dùng máy tính thông thường Trước tiên, người dùng nên hạn chế việc tải về và mở các tệp tin không rõ nguồn gốc từ Internet ví dụ như: Các tệp tin đính kèm gửi qua thư điện tử, các đường dẫn gửi qua các công cụ nhắn tin, các tệp tin chia sẻ trên mạng xã hội… một số tệp tin văn bản thường bị đính kèm mã độc là: tệp tin văn bản word/excel; tệp tin pdf, .exe. Mã độc hoàn toàn có thể giả mạo thư điện tử của người khác (bạn bè, đối tác, đồng nghiệp…) để gửi thư điện tử đính kèm tệp tin hoặc đường dẫn lừa đảo, bạn cũng rất cần phải lưu ý khi nhận được các thư điện tử như vậy. Nếu bạn đang sử dụng Windows XP, Windows 7, Windows 8 thì bạn cần cập nhật bản vá mới của hệ điều hành Windows cho máy tính của mình và giữ thói quen cập nhật máy tính ngay khi có thông báo từ Microsoft. 2. Đối với các bộ phận quản trị mạng? Để hạn chế việc toàn cơ quan, hệ thống mạng của tổ chức bị nhiễm mã độc này bạn có thể thực hiện ngay các biện pháp phân chia vùng mạng lớn của tổ chức thành các vùng mạng nhỏ hơn tùy theo vị tri hoặc chức năng nhiệm vụ và cấu hình hạn chế truy cập từ các vùng này với nhau và nếu bạn đang sử dụng một thiết bị tưởng lửa hãy cấu hình chặn việc truy cập vào các cổng 445 và 137, 138, 139 giữa các máy trong các vùng mạng này nếu không có các nhu cầu về chia sẻ tài liệu thông qua giao thức SMB của hệ điều hành Windows. Việc này sẽ hạn chế được việc lây lan mã độc trong trường hợp một số máy tính không thể cập nhật được bản vá lỗi. 3. Đối với các nhà quản trị hệ thống và các cơ quan, tổ chức đang sử dụng máy chủ Windows Server làm nền tảng cung cấp dịch vụ? Đối với các máy chủ, bạn cần xem xét việc có thể cập nhật lên bản vá mới nhất được hay không? Vì một số trường hợp khi cập nhật bản vá hoặc nâng cấp lên bản mới các dịch vụ, phần mềm đang sử dụng sẽ phát sinh các lỗi ngoài mong muốn. Nếu có thể hãy cập nhật bản vá mới nhất cho phiên bản hệ điều hành mà bạn đang sử dụng hoặc cập nhật lên phiên bản mới nhất của hệ điều hành đó. Trong trường hợp bạn không thể cập nhật bản vá hoặc nâng cấp lên phiên bản mới hãy thực hiện một số biện pháp sau để hạn chế việc bị tấn công bởi mã độc hoặc tin tặc từ bên ngoài. Tắt các dịch vụ SMB trên máy chủ; Bật tường lửa của Hệ điều hành để chặn lại các cổng của dịch vụ SMB là: 445 và 137, 138, 139. Nếu bạn đang sử dụng tường lửa riêng biệt chung cho cả hệ thống máy chủ của mình, bạn hãy cũng có thể cập nhật bộ luật để chặn các cổng này. Nếu bạn đang sử dụng các biện pháp phòng chống tấn công mạng (IPS, Firewall…) thì bạn nên kiểm tra và thực hiện cập nhật bộ luật mới nhất từ nhà cung cấp. +Hướng dẫn Phòng chống Ransomware WanaCrypt0r 2.0 trên Win 7 - 8 và Windows 10 Làm thế nào để chống WanaCrypt0r ? How Do I Remove WanaCrypt0r? Điều này không hề đơn giản đâu các bạn, nhưng tôi sẽ hướng dẫn các bạn một cách đơn giản nhất mà ai cũng có thể chống WanaCrypt0r. Kiểm tra SMB1 trên thiết bị có bật hay không ? How Do I Check Whether SMB1 Is Enabled On My Computer? Bước 1. Mở Powershell bằng cách ấn Windows key + R rồi nhấp powershell.exe 1. Step Open Powershell, simply hit Windows key + R and enter powershell.exe: Bước 2. Điền đoạn code bên dưới vào 2. Step Copy and paste the following command into the blue command line: Mã (text): Get-SmbServerConfiguration | Select EnableSMB1Protocol, EnableSMB2Protocol Bước 3. Xem kết quả trả về, nếu là False như hình thì máy bạn đã tắt SMB1, nếu hiện True thì mệt rồi. 3. Step If it says EnableSMB1Protocol is false then it is already disabled. But if it says true, then you need to disable it. Bước 4. Tắt SMB1 nếu kết quả là True ở bước 3 4. Step In order to disable SMB1 copy and paste this command: Dán lệnh bên dưới vào Command và chạy lệnh. Mã (text): Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 -Force Tắt SMB1 bằng Powershell Disable SMB1 Via Powershell Bước 1. Mở Powershell bằng lệnh Run > powershell.exe 1. Step Open Powershell, simply hit Windows key + R and enter powershell.exe: Bước 2. Dán code sau vào powershell.exe 2. Step Copy and paste Mã (text): Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” SMB1 -Type DWORD -Value 0 -Force Bước 3. Khở động lại 3. Step Restart Tắt SMB1 bằng Registry Disable SMB1 Via Registry Bước 1. Mở Run > regedit.exe 1. Step Hit Windows key + R on your keyboard and enter regedit.exe: Bước 2. 2. Step In HKEY_Local_Machine go to SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters and create a new DWORD key SMB1 with the value 0 Đi đến SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters ở HKEY_Local_Machine và tạo mới DWORD key là SMB1 có giá trị value = 0. Bước 3. 3. Step In HKEY_Local_Machine go to HKLM:\SYSTEM\CurrentControlSet\Services\LanmanWorkstation and verify that DependOnService is set to Bowser”,”MRxSmb20″,”NSI Tại HKEY_Local_Machine tìm HKLM:\SYSTEM\CurrentControlSet\Services\LanmanWorkstation và xác nhận rằng DependOnService đã set Bowser”,”MRxSmb20″,”NSI Bước 4. 4. Step In HKEY_Local_Machine go to System\CurrentControlSet\services\mrxsmb1 and set the value of Start to 4 Tại HKEY_Local_Machine tìm đến System\CurrentControlSet\services\mrxsmb1 và cài đặt giá trị Start = 4 Bước 5 5. Step Restart your PC in order for this to go into effect Khở động lại Chống với Kaspersky Anti-Ransomware Tool Mới đây, hãng bảo mật hàng đầu thế giới đó là Kaspersky đã phát triển một công cụ tuyệt vời hỗ trợ cho việc phát hiện và tiêu diệt các phần mềm gián điệp. Tuy mới là phiên bản Beta thôi nhưng rất đáng để cho chúng ta sử dụng. Bởi vì sao ? Hỗ trợ phiên bản miễn phí và nó lại được phát triển bởi một hãng bảo mật hàng đầu thế giới. Bạn có thể sử dụng công cụ này kết hợp với các phần mềm diệt virus có sẵn trên máy tính mà không lo bị xung đột. Đưa ra các cảnh báo nếu như phát hiện phần mềm nghi vấn. Hỗ trợ tất cả các phiên bản Windows phổ biến hiện nay đó là Windows 7, Windows 8, 8.1 và Windows 10. Download Kaspersky Anti-Ransomware Tool Bước 1: Bạn truy cập vào địa chỉ này. Bước 2: Nhập đầy đủ các thông tin vào Form như hình bên dưới => sau dó bạn tích vào ô ” I explicity consent to the collection…..” => nhấn vào SUMBMIT AND DOWNLOAD Bước 3: Lúc này bạn sẽ được chuyển đến một giao diện mới, bạn hãy nhấn vào đường link mà họ cung cấp để tải phần mềm về là xong. Chúc các bạn có thêm kiến thức để không là nạn nhân trong vụ này nhé. Nếu không may thì liên hệ để chúng tôi ứng cứu dữ liệu và ứng cứu máy tính của bạn nhé. Dịch vụ bảo mật của tôi chẳng qua chỉ để hỗ trợ các bạn, liên hệ với tôi ngay nhé. Tác giả: Bùi Minh Hùng